Délibération n° 2024-91 du 17 avril 2024 de la Commission de Contrôle des Informations Nominatives portant avis favorable à la mise en œuvre du traitement automatisé d'informations nominatives ayant pour finalité « Gestion des rendez‑vous en ligne pour les services du Cercle A » exploité par le Secrétariat Général du Gouvernement présenté par le Ministre d'État.
Vu la Constitution ;
Vu la Convention Européenne de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel et son Protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l’Ordonnance Souveraine n° 5.840 du 13 mai 2016 portant création du Secrétariat Général du Gouvernement ;
Vu l’Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu la délibération n° 2011-82 du 21 octobre 2011 portant recommandation sur les principes européens applicables aux traitements automatisés ou non automatisés d’informations nominatives ;
Vu la demande d’avis déposée par le Ministre d’État, le 5 février 2024, concernant la mise en œuvre du traitement automatisé ayant pour finalité « Gestion des rendez-vous en ligne pour les services du Cercle A » ;
Vu la prorogation du délai d’examen de la présente demande d’avis notifiée au responsable de traitement le 4 mars 2024, conformément à l’article 19 de l’Ordonnance Souveraine n° 2.230 du 19 juin 2009, susvisée ;
Vu le rapport de la Commission de Contrôle des Informations Nominatives en date du 17 avril 2024 portant examen du traitement automatisé, susvisé ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Le Gouvernement Princier souhaite faciliter le processus de prise et de gestion de rendez-vous en ligne pour les usagers bénéficiaires du Groupement des Personnels de l’Administration Monégasque (« le Cercle A »).
Conformément aux dispositions de l’article 7 de la loi n° 1.165 du 23 décembre 1993, modifiée, le Ministre d’État soumet ainsi, à l’avis de la Commission, le traitement ayant pour finalité « Gestion des rendez-vous en ligne pour les services du Cercle A ».
I. Sur la finalité et les fonctionnalités du traitement
Le présent traitement a pour finalité « Gestion des rendez-vous en ligne pour les services du Cercle A ».
Il concerne les personnels de l’Administration, les bénéficiaires du Cercle A et leur foyer (usagers).
Les fonctionnalités du traitement sont :
- pour les usagers bénéficiaires :
• permettre aux usagers bénéficiaires de prendre ou de solliciter un rendez-vous pour les activités du Cercle A, au moyen d’un portail web dédié ;
• permettre aux usagers bénéficiaires de modifier ou annuler son/ses rendez-vous.
- pour le personnel de l’Administration :
• permettre à l’agent habilité de gérer, depuis le « Portail Agent », son calendrier, consulter les rendez-vous, prendre/annuler/modifier les rendez-vous et créer une fiche « client » ;
• permettre à l’agent habilité, depuis le « Portail Agent », d’envoyer une notification (appel téléphonique, courrier électronique) aux usagers bénéficiaires pour toute communication nécessaire à la gestion de l’objet du rendez-vous ;
• permettre aux administrateurs de la plateforme (personnel de l’Administration), depuis le « Portail Agent » avec un rôle Admin, de gérer l’agenda des agents habilités, de créer et gérer des équipes et services, de gérer les rappels/notifications de rendez-vous reçus par les agents, de créer des usagers, créer/annuler ou modifier les rendez-vous des usagers, de personnaliser les courriers électroniques d’information reçus par les usagers, personnaliser le module de prise de rendez-vous ;
• envoyer automatiquement à l’usager, via un courrier électronique, un rappel la veille du rendez-vous ;
• établir des statistiques non nominatives relatives à la prise de rendez-vous en ligne.
Le responsable de traitement indique que pour prendre un rendez-vous, l’usager peut le faire via le portail Cercle A, suivre un lien envoyé par email le menant directement à l’interface de prise de rendez-vous ou bien passer par le réseau social de l’Administration.
S’agissant de ce dernier, la Commission relève que le traitement y relatif a reçu un avis défavorable par délibération n° 2019-160 du 31 octobre 2019 et que ce dernier n’a pas été régularisé depuis.
Par ailleurs, le responsable de traitement précise que plusieurs types de rendez-vous sont proposés à l’usager (retrait des commandes de ticket de foire, retrait des achats de forfaits de ski, retrait des places pour le musée Océanographique, retrait de bons cadeaux Carlo, etc.). Après avoir choisi l’objet du rendez-vous correspondant à sa demande, l’usager doit sélectionner la date ainsi que le créneau horaire souhaité pour récupérer la commande.
La Commission considère que la finalité du traitement est déterminée et explicite, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
II. Sur la licéité et la justification du traitement
Le responsable de traitement indique que le présent traitement est justifié par le consentement de la personne concernée, par un motif d’intérêt public ainsi que par la réalisation d’un intérêt légitime qu’il poursuit et qui ne méconnaît ni l’intérêt, ni les droits et libertés fondamentaux des personnes concernées.
Il précise notamment que le consentement de la personne concernée est formalisé par un acte positif clair, matérialisé par le biais d’une case à cocher, laquelle mentionne, « J’accepte que mes données personnelles soient traitées par le Secrétariat Général du Gouvernement à des fins de « Gestion en ligne des rendez-vous pour les services du Cercle A » », conformément aux conditions générales d’utilisation du téléservice, indispensable pour la création du compte sécurisé et l’accès à la démarche en ligne.
S’agissant de la justification du traitement par une mission d’intérêt public, le responsable de traitement indique que le Secrétariat Général du Gouvernement est notamment chargé, conformément à l’Ordonnance Souveraine n° 5.840 du 13 mai 2016 « d’animer et de coordonner l’activité des Directions, Services et autres entités placés sous l’autorité directe du Ministre d’État ou à vocation interministérielle ». Ainsi, il précise que la mise à disposition d’une solution pour la prise de rendez-vous pour les usagers et bénéficiaires du Cercle A permet à ce dernier « une meilleure organisation pour recevoir les usagers et bénéficiaires et fluidifier également les échanges avec ces derniers ».
À cet égard, la Commission considère que le motif d’intérêt public ne s’applique pas à un traitement permettant à ses personnels, présents ou passés, de bénéficier d’avantages individuels.
Le responsable de traitement précise par ailleurs que l’intérêt légitime repose sur celui des personnes concernées, à savoir leur permettre de prendre et gérer leurs rendez-vous en ligne plus simplement.
Il est en outre indiqué que la Direction des Services Numériques (DSN) est chargée, au titre de l’Ordonnance Souveraine n° 7.995 d’assurer le développement de l’administration électronique et de mettre en place des services en ligne à destination des usagers.
La Commission relève que les personnes concernées peuvent également contacter le Cercle A par téléphone afin d’obtenir un rendez-vous.
Sous la réserve évoquée au présent point, la Commission considère que le traitement est licite et justifié conformément aux dispositions des articles 10-1 et 10-2 de la loi n° 1.165, modifiée.
III. Sur les informations traitées
Les informations nominatives traitées sont désormais :
- identité :
• usager : civilité, nom, prénom ;
• personnel de l’Administration : nom, prénom, rôle attribué ;
- adresses et coordonnées :
• usager : numéro de téléphone, adresse email ;
• personnel de l’Administration : numéro de téléphone, adresse email ;
- consommation de biens et services : contenu de la commande ;
- données d’identification électronique du personnel de l’Administration : login et mot de passe ;
- informations temporelles : données d’horodatage, logs de connexion.
Il appert à la lecture du dossier que des cookies sont également traités. Le responsable de traitement indique ne procéder qu’au dépôt de cookies techniques. La Commission appelle toutefois l’attention du responsable de traitement sur le nécessaire respect des dispositions de l’article 14-2 de la loi n° 1.165 qui dispose qu’ « il est interdit de subordonner l’accès à un service disponible sur un réseau de communications électroniques à l’acceptation, par l’abonné ou l’utilisateur concerné, du traitement des informations stockées dans son équipement terminal, sauf si la conservation ou l’accès techniques visent exclusivement à effectuer ou à faciliter la transmission d’une communication par la voie d’un réseau de communications électroniques, ou sont strictement nécessaires à la fourniture d’un service expressément demandé par l’abonné ou l’utilisateur ». Ainsi, si des cookies ne remplissent pas ces conditions, la Commission rappelle qu’ils doivent être soumis au consentement des personnes concernées.
S’agissant des informations relatives à la consommation de biens et services, la Commission relève que les commandes des usagers peuvent être très variées. Cela peut notamment concerner des tickets de foire, des forfaits de ski, des places pour des spectacles, des bons cadeaux mais également le retrait de la carte membre du Cercle A.
L’origine des informations n’appelle pas d’observation.
La Commission considère que les informations collectées sont « adéquates, pertinentes et non excessives » au regard de la finalité du traitement, conformément aux dispositions de l’article 10-1 de la loi n° 1.165 du 23 décembre 1993.
IV. Sur les droits des personnes concernées
- Sur l’information préalable des personnes concernées
L’information préalable est réalisée par le biais d’une mention particulière intégrée dans un document d’ordre général accessible en ligne, à savoir les conditions générales d’utilisation de la plateforme que la personne concernée doit accepter et peut consulter.
À la lecture de la mention d’information précitée, la Commission constate qu’elle est conforme aux exigences légales.
Elle constate en outre la mise à disposition d’une politique cookie.
La Commission relève en outre que les agents traitants de l’Administration sont informés par email. À la lecture de ce dernier, la Commission constate qu’il est conforme aux exigences légales.
- Sur l’exercice du droit d’accès, de modification et de mise à jour
Le droit d’accès s’exerce par voie postale ou par courrier électronique.
À cet égard, la Commission rappelle que la réponse à ce droit d’accès doit s’exercer dans le mois suivant la réception de la demande.
Elle rappelle en outre, que dans le cadre de l’exercice du droit d’accès par voie électronique une procédure doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agit effectivement de la personne concernée par les informations.
À ce titre, elle précise que si une copie d’un document d’identité était demandée, la transmission et le traitement de ce document devront faire l’objet de mesures de protection particulières, comme rappelé dans sa délibération n° 2015-113 du 18 novembre 2015 portant recommandation sur la collecte et la conservation de la copie de documents d’identité officiels.
Sous ces conditions, la Commission considère que les modalités d’exercice des droits des personnes concernées sont conformes aux dispositions des articles 13, 15 et 16 de la loi n° 1.165, modifiée.
V. Sur les destinataires et les personnes ayant accès au traitement
Les accès sont définis comme suit :
- les personnels du Secrétariat Général du Gouvernement habilités à traiter les actions du Cercle A : tous droits sur les rendez-vous pris ou à prendre pour la personne concernée ;
- le personnel de l’Administration et tiers agissant pour son compte (Direction des Services Numériques et Direction des Systèmes d’Information) : en configuration, paramétrage, création, modification, lecture ;
- le prestataire de la solution : administrateur de la solution et fonction support ;
- les usagers : accès à son/ses rendez-vous en lecture, création et modification.
En ce qui concerne le prestataire et les tiers agissant pour le compte de l’Administration, la Commission rappelle que conformément aux dispositions de l’article 17 de la loi n° 1.165 du 23 décembre 1993 les droits d’accès doivent être limités à ce qui est strictement nécessaire à l’exécution de leurs contrats de prestation de service. De plus, ledit prestataire et lesdits tiers agissant sont soumis aux mêmes obligations de sécurité et de confidentialité que celles imposées au responsable de traitement, en application de ce même article.
La Commission considère que ces accès sont justifiés.
VI. Sur les rapprochements et les interconnexions avec d’autres traitements
Le responsable de traitement indique que le présent traitement est interconnecté avec les traitements suivants, légalement mis en œuvre :
- « Gestion des habilitations et des accès au système d’information » afin de disposer des éléments permettant de créer un compte aux utilisateurs pour qu’ils puissent se connecter au réseau et ainsi exercer leurs missions selon leur profil ;
- « Gestion de la messagerie professionnelle » pour permettre aux acteurs du traitement de pouvoir échanger dans le cadre de leurs fonctions ;
- « Gestion centralisée des accès aux applications du système d’information » pour permettre aux contributeurs et webmasters de gérer les sites.
Par ailleurs, il indique que le traitement est également rapproché avec les traitements, légalement mis en œuvre suivants :
- « Assistance aux utilisateurs par le Centre de Service de la DSI » afin de remonter un incident sur un des sites ;
- « Gestion des activités du Groupement des Personnels de l’Administration Monégasque, communication aux bénéficiaires et partenaires » afin de faire le lien entre le rendez-vous pris par l’usager et sa commande pour que les agents de l’Administration puissent s’assurer que sa commande est prête pour son rendez-vous.
La Commission considère que ces interconnexions et rapprochements sont conformes aux exigences légales.
VII. Sur la sécurité du traitement et des informations
Les mesures prises pour assurer la sécurité et la confidentialité du traitement et des informations qu’il contient n’appellent pas d’observation.
Cependant les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare feux) ainsi que les comptes utilisateurs et administrateurs doivent être protégés nominativement par un identifiant et un mot de passe réputé fort.
La Commission rappelle enfin que, conformément à l’article 17 de la loi n° 1.165 du 23 décembre 1993, les mesures techniques et organisationnelles mises en place afin d’assurer la sécurité et la confidentialité du traitement au regard des risques présentés par celui‑ci et de la nature des données à protéger devront être maintenues et mises à jour en tenant compte de l’état de l’art, afin de permettre de conserver le haut niveau de fiabilité attendu tout au long de la période d’exploitation du présent traitement.
VIII. Sur la durée de conservation
Les informations relatives au personnel de l’Administration sont conservées « tant que l’agent est habilité » à l’exception des données d’horodatages conservées pendant « 12 mois glissants ».
Les logs de connexion sont conservés « 3 mois à compter de la dernière connexion ».
Enfin, le responsable de traitement indique que les autres données sont conservées « 6 mois à compter du dernier rendez‑vous pris ».
Par complément d’information il précise que les données sont conservées pendant 6 mois à compter du rendez-vous. Toutefois, dans l’hypothèse où le rendez-vous initial nécessite qu’il y ait lieu d’en prévoir a minima un second, les rendez-vous sont reliés manuellement par les personnes habilitées et la durée de conservation sera appliquée à cet ensemble et fixée à « 6 mois à compter du dernier rendez-vous pris ».
La Commission en prend acte et considère que ces durées de conservation sont conformes aux exigences légales.
Après en avoir délibéré, la Commission :
Rappelle que :
- si les cookies traités ne remplissent pas les conditions de l’article 14-2 de la loi n°1.165, ils doivent être soumis au consentement des personnes concernées ;
- la réponse au droit d’accès doit s’effectuer dans le mois suivant la réception de la demande ;
- une procédure relative au droit d’accès par voie électronique doit être mise en place afin que le responsable de traitement puisse s’assurer, en cas de doute sur l’identité de la personne à l’origine du courriel, qu’il s’agisse effectivement de la personne concernée par les informations ;
- les ports non utilisés doivent être désactivés et les serveurs, périphériques, équipements de raccordements (switchs, routeurs, pare-feux) ainsi que chaque compte utilisateur et administrateur doivent être protégés individuellement par un identifiant et par un mot de passe réputé fort, régulièrement renouvelé.
Sous le bénéfice de la prise en compte de ce qui précède,
la Commission de Contrôle des Informations Nominatives émet un avis favorable à la mise en œuvre, par le Ministre d’État, du traitement automatisé d’informations nominatives ayant pour finalité « Gestion des rendez-vous en ligne pour les services du Cercle A » du Secrétariat Général du Gouvernement.
Le Président de la Commission de Contrôle
des Informations Nominatives.